| タイトル | エレコム製無線LANルーターにおける複数の脆弱性 |
|---|---|
| 概要 | エレコム株式会社が提供する複数の無線LANルーターには、次の複数の脆弱性が存在します。 <ul><li>アップロードするファイルの検証が不十分(CWE-434)- CVE-2024-34021</li><li>OSコマンドインジェクション(CWE-78)- CVE-2024-39607</li><li>クロスサイトリクエストフォージェリ(CWE-352)- CVE-2024-40883</li></ul> CVE-2024-34021 この脆弱性情報は、情報セキュリティ早期警戒パートナーシップに基づき下記の方がIPAに報告し、JPCERT/CCが開発者との調整を行いました。 報告者:日本電気株式会社 外山 拓 氏、荒井 大地 氏 CVE-2024-39607、CVE-2024-40883 これらの脆弱性情報は、情報セキュリティ早期警戒パートナーシップに基づき下記の方がIPAに報告し、JPCERT/CCが開発者との調整を行いました。 報告者:GMOサイバーセキュリティ byイエラエ株式会社 石井 健太郎 氏 |
| 想定される影響 | 想定される影響は各脆弱性により異なりますが、次のような影響を受ける可能性があります。<ul><li>当該製品にログインしたユーザから細工されたファイルをアップロードされ、任意のOSコマンドを実行される(CVE-2024-34021)</li><li>当該製品にログインしたユーザから細工されたリクエストを送信され、任意のOSコマンドを実行される(CVE-2024-39607)</li><li>当該製品にログインした状態のユーザが細工されたページにアクセスした場合、ログインIDやログインパスワード等の設定を変更させられる(CVE-2024-40883)</li></ul> |
| 対策 | [アップデートする] 開発者が提供する情報をもとに、ファームウェアを最新版へアップデートしてください。 |
| 公表日 | 2024年7月30日0:00 |
| 登録日 | 2024年7月30日12:12 |
| 最終更新日 | 2026年2月3日14:25 |
| CVSS3.0 : 警告 | |
| スコア | 6.8 |
|---|---|
| ベクター | CVSS:3.0/AV:A/AC:L/PR:H/UI:N/S:U/C:H/I:H/A:H |
| エレコム株式会社 |
| WRC-1167GS2-B v1.74およびそれ以前のバージョン(CVE-2024-34021) |
| WRC-1167GS2H-B v1.74およびそれ以前のバージョン(CVE-2024-34021) |
| WRC-1167GST2 ファームウェア v1.32およびそれ以前のバージョン(CVE-2024-34021) |
| WRC-2533GS2-B v1.68 およびそれ以前のバージョン (CVE-2024-34021) |
| WRC-2533GS2-W v1.68 およびそれ以前のバージョン (CVE-2024-34021) |
| WRC-2533GS2V-B v1.68 およびそれ以前のバージョン (CVE-2024-34021) |
| WRC-2533GST2 ファームウェア v1.30およびそれ以前のバージョン (CVE-2024-34021) |
| WRC-X1500GS-B v1.11 およびそれ以前のバージョン (CVE-2024-39607、CVE-2024-40883) |
| WRC-X1500GSA-B v1.11 およびそれ以前のバージョン (CVE-2024-39607、CVE-2024-40883) |
| WRC-X1800GS-B v1.18およびそれ以前のバージョン(CVE-2024-39607、CVE-2024-40883) |
| WRC-X1800GSA-B v1.18およびそれ以前のバージョン(CVE-2024-39607、CVE-2024-40883) |
| WRC-X1800GSH-B v1.18およびそれ以前のバージョン(CVE-2024-39607、CVE-2024-40883) |
| WRC-X3000GS2-B ファームウェア v1.08およびそれ以前のバージョン (CVE-2024-39607、CVE-2024-40883) |
| WRC-X3000GS2-W ファームウェア v1.08およびそれ以前のバージョン (CVE-2024-39607、CVE-2024-40883) |
| WRC-X3000GS2A-B ファームウェア v1.08およびそれ以前のバージョン (CVE-2024-39607、CVE-2024-40883) |
| WRC-X6000QS-G v1.13およびそれ以前のバージョン (CVE-2024-39607、CVE-2024-40883) |
| WRC-X6000QSA-G v1.13およびそれ以前のバージョン (CVE-2024-39607、CVE-2024-40883) |
| WRC-X6000XS-G v1.11 およびそれ以前のバージョン (CVE-2024-39607、CVE-2024-40883) |
| WRC-X6000XST-G v1.14およびそれ以前のバージョン (CVE-2024-39607、CVE-2024-40883) |
| WRC-XE5400GS-G v1.12およびそれ以前のバージョン (CVE-2024-39607、CVE-2024-40883) |
| WRC-XE5400GSA-G v1.12およびそれ以前のバージョン (CVE-2024-39607、CVE-2024-40883) |
| No | 変更内容 | 変更日 |
|---|---|---|
| 3 | [2024年09月24日] 影響を受けるシステム:内容を追記 |
2024年9月18日9:37 |
| 4 | [2024年11月26日] 影響を受けるシステム:内容を追記 |
2024年11月25日15:14 |
| 5 | [2025年02月12日] 影響を受けるシステム:内容を追記 |
2025年2月12日9:37 |
| 6 | [2026年02月03日] 影響を受けるシステム:内容を追記 |
2026年1月30日10:56 |
| 2 | [2024年08月27日] 影響を受けるシステム:内容を追記 |
2024年8月22日16:57 |
| 1 | [2024年07月30日] 掲載 |
2024年7月26日19:08 |
| 概要 | Unrestricted upload of file with dangerous type vulnerability exists in ELECOM wireless LAN routers. A specially crafted file may be uploaded to the affected product by a logged-in user with an administrative privilege, resulting in an arbitrary OS command execution. |
|---|---|
| 公表日 | 2024年8月1日11:15 |
| 登録日 | 2024年8月1日16:00 |
| 最終更新日 | 2024年8月1日11:15 |
| 概要 | OS command injection vulnerability exists in ELECOM wireless LAN routers. A specially crafted request may be sent to the affected product by a logged-in user with an administrative privilege to execute an arbitrary OS command. |
|---|---|
| 公表日 | 2024年8月1日11:15 |
| 登録日 | 2024年8月1日16:00 |
| 最終更新日 | 2024年8月1日11:15 |
| 概要 | Cross-site request forgery vulnerability exists in ELECOM wireless LAN routers. Viewing a malicious page while logging in to the affected product with an administrative privilege, the user may be directed to perform unintended operations such as changing the login ID, login password, etc. |
|---|---|
| 公表日 | 2024年8月1日11:15 |
| 登録日 | 2024年8月1日16:00 |
| 最終更新日 | 2024年10月27日10:35 |
| 構成1 | 以上 | 以下 | より上 | 未満 | |
| cpe:2.3:o:elecom:wrc-2533gs2-b_firmware:*:*:*:*:*:*:*:* | 1.69 | ||||
| 実行環境 | |||||
| 1 | cpe:2.3:h:elecom:wrc-2533gs2-b:-:*:*:*:*:*:*:* | ||||
| 構成2 | 以上 | 以下 | より上 | 未満 | |
| cpe:2.3:o:elecom:wrc-2533gs2-w_firmware:*:*:*:*:*:*:*:* | 1.69 | ||||
| 実行環境 | |||||
| 1 | cpe:2.3:h:elecom:wrc-2533gs2-w:-:*:*:*:*:*:*:* | ||||
| 構成3 | 以上 | 以下 | より上 | 未満 | |
| cpe:2.3:o:elecom:wrc-2533gs2v-b_firmware:*:*:*:*:*:*:*:* | 1.69 | ||||
| 実行環境 | |||||
| 1 | cpe:2.3:h:elecom:wrc-2533gs2v-b:-:*:*:*:*:*:*:* | ||||
| 構成4 | 以上 | 以下 | より上 | 未満 | |
| cpe:2.3:o:elecom:wrc-x6000xs-g_firmware:*:*:*:*:*:*:*:* | 1.12 | ||||
| 実行環境 | |||||
| 1 | cpe:2.3:h:elecom:wrc-x6000xs-g:-:*:*:*:*:*:*:* | ||||
| 構成5 | 以上 | 以下 | より上 | 未満 | |
| cpe:2.3:o:elecom:wrc-x1500gs-b_firmware:*:*:*:*:*:*:*:* | 1.12 | ||||
| 実行環境 | |||||
| 1 | cpe:2.3:h:elecom:wrc-x1500gs-b:*:*:*:*:*:*:*:* | ||||
| 構成6 | 以上 | 以下 | より上 | 未満 | |
| cpe:2.3:o:elecom:wrc-x1500gsa-b_firmware:*:*:*:*:*:*:*:* | 1.12 | ||||
| 実行環境 | |||||
| 1 | cpe:2.3:h:elecom:wrc-x1500gsa-b:*:*:*:*:*:*:*:* | ||||